“CSDN泄密事件”、“小米用戶賬號信息曝光”、“Facebook數(shù)據(jù)泄”……觸目驚心的數(shù)據(jù)庫泄漏事件一件接一件層出不窮。不但給企業(yè)、客戶帶來經(jīng)濟(jì)損失，也造成了巨大的社會(huì)影響。

而針對這種存儲在數(shù)據(jù)庫中的數(shù)據(jù)，信息安全行業(yè)內(nèi)一直都在嘗試各種安全防護(hù)手段。比如堡壘主機(jī)、數(shù)據(jù)庫審計(jì)等產(chǎn)品，但是很明顯，即使客戶在實(shí)施了這些對數(shù)據(jù)庫的安全防護(hù)方案的情況下，大量針對數(shù)據(jù)庫中數(shù)據(jù)的攻擊行為、數(shù)據(jù)庫數(shù)據(jù)的泄漏/篡改行為還是屢見不鮮。因?yàn)楸局鳈C(jī)解決的是否能登錄到數(shù)據(jù)庫服務(wù)器的問題，即進(jìn)數(shù)據(jù)庫之前的問題；數(shù)據(jù)庫審計(jì)是將所有對數(shù)據(jù)庫的訪問行為做記錄供事后追溯，解決的是發(fā)生泄露事件之后的追責(zé)問題。這兩類產(chǎn)品對于用戶登錄數(shù)據(jù)庫后對庫中數(shù)據(jù)進(jìn)行的各種操作、各種修改、各種數(shù)據(jù)下載的問題，無法及時(shí)發(fā)現(xiàn)、及時(shí)制止。只能在數(shù)據(jù)庫泄漏、篡改事件發(fā)生之前、之后，進(jìn)行登錄權(quán)限檢查和操作內(nèi)容追溯。這種“馬后炮”的防護(hù)方式，已經(jīng)遠(yuǎn)遠(yuǎn)無法解決當(dāng)前數(shù)據(jù)庫面臨的安全風(fēng)險(xiǎn)。

大量的客戶，特別是已經(jīng)部署了堡壘主機(jī)、數(shù)據(jù)庫審計(jì)等防護(hù)手段的客戶，已經(jīng)開始考慮一種針對用戶登錄數(shù)據(jù)庫之后能夠?qū)崟r(shí)控制操作過程的思路，即是否有這樣一種產(chǎn)品，首先，它能夠在用戶登錄數(shù)據(jù)庫之前就對用戶身份權(quán)限進(jìn)行驗(yàn)證，并且將驗(yàn)證信息與用戶能夠訪問的數(shù)據(jù)庫中的表的內(nèi)容關(guān)聯(lián)起來，特定的用戶只能訪問特定的表，滿足安全體系中的最小化權(quán)限分配要求；其次，它能夠?qū)崟r(shí)監(jiān)控登錄用戶對數(shù)據(jù)庫的訪問行為，當(dāng)發(fā)現(xiàn)違規(guī)的數(shù)據(jù)庫數(shù)據(jù)泄漏、篡改的行為時(shí)，立刻將正在進(jìn)行的違規(guī)行為阻斷，從而實(shí)時(shí)阻止針對數(shù)據(jù)庫的違規(guī)操作事件的發(fā)生，保證數(shù)據(jù)庫中的數(shù)據(jù)不會(huì)出現(xiàn)安全危害；最后，它還能記錄所有用戶對數(shù)據(jù)庫的各種訪問行為，供追溯非重要的安全事件。

在大量客戶的真實(shí)迫切的需求驅(qū)動(dòng)下，業(yè)內(nèi)出現(xiàn)了一種專門針對數(shù)據(jù)庫實(shí)時(shí)防御的一種產(chǎn)品——數(shù)據(jù)庫防火墻。可能大家都跟我一樣，現(xiàn)在行業(yè)內(nèi)已經(jīng)有了網(wǎng)絡(luò)防火墻、WEB防火墻，怎么又出來一種數(shù)據(jù)庫防火墻，這種設(shè)備到底跟傳統(tǒng)的防火墻有什么本質(zhì)的區(qū)別？請看下圖：

　　圖：常見的網(wǎng)絡(luò)安全防護(hù)架構(gòu)

從邏輯部署位置看：

1、 網(wǎng)絡(luò)防火墻部署在網(wǎng)絡(luò)出口處；

2、 WEB防火墻(WAF)部署在WEB服務(wù)器之前，網(wǎng)絡(luò)防火墻之后；

3、 數(shù)據(jù)庫防火墻（DBFW）部署在數(shù)據(jù)庫服務(wù)器之前，WEB服務(wù)器之后。

從各自發(fā)揮的作用來看：

1、 網(wǎng)絡(luò)防火墻主要從網(wǎng)絡(luò)層進(jìn)行安全防護(hù)；

2、 WEB防火墻通過對應(yīng)用層的web協(xié)議解析進(jìn)行防護(hù)，側(cè)重對WEB服務(wù)器的各種非法操作行為；

3、 數(shù)據(jù)庫防火墻（DBFW）通過對應(yīng)用層的數(shù)據(jù)庫通訊協(xié)議解析進(jìn)行防護(hù)，控制針對數(shù)據(jù)庫服務(wù)器的各種非法行為。

下面用一個(gè)簡單的例子來說明數(shù)據(jù)庫防火墻（DBFW）的功能特性。假設(shè)有這樣一個(gè)數(shù)據(jù)庫泄露事件：一名擁有數(shù)據(jù)庫用戶名、密碼的黑客要從外網(wǎng)進(jìn)入內(nèi)網(wǎng)導(dǎo)出數(shù)據(jù)庫中所有數(shù)據(jù)并公布大眾。

首先，這個(gè)連接會(huì)通過網(wǎng)絡(luò)防火墻，網(wǎng)絡(luò)防火墻根據(jù)五元組（源IP、源端口、目的IP、目的端口、協(xié)議）分析，這個(gè)連接是很正常的一個(gè)訪問數(shù)據(jù)庫的連接，網(wǎng)絡(luò)防火墻會(huì)將此連接放行；然后，這個(gè)連接到了web防火墻的位置，web防火墻檢測到這個(gè)連接的目的端口和協(xié)議不是針對web服務(wù)器的，也會(huì)將此連接放行；這樣這個(gè)連接就到了數(shù)據(jù)庫的門口。如果沒有數(shù)據(jù)庫防火墻，因?yàn)檫@個(gè)連接中攜帶著正確的數(shù)據(jù)庫用戶名及密碼，這個(gè)連接可以正常訪問數(shù)據(jù)庫，并且讀取數(shù)據(jù)庫中的所有數(shù)據(jù)，數(shù)據(jù)泄露在劫難逃，造成的后果不堪設(shè)想；而當(dāng)我們在數(shù)據(jù)庫門前放上一臺數(shù)據(jù)庫防火墻時(shí)，這一切全都變了。當(dāng)這個(gè)連接到了數(shù)據(jù)庫的門口，數(shù)據(jù)庫防火墻會(huì)檢測這個(gè)用戶是否可以訪問數(shù)據(jù)庫、可以訪問數(shù)據(jù)庫中的哪張表、在讀取數(shù)據(jù)庫中數(shù)據(jù)的時(shí)候能讀出來幾行、有沒有增、刪、改、查數(shù)據(jù)的權(quán)限等，從而防止這個(gè)用戶在數(shù)據(jù)庫中為所欲為，將可能出現(xiàn)的數(shù)據(jù)泄露事件扼殺在萌芽狀態(tài)，防止對企業(yè)、對個(gè)人造成不良影響。

通過上面的例子我們可以看到，數(shù)據(jù)庫防火墻（DBFW）這種產(chǎn)品，它的工作方式、工作內(nèi)容、保護(hù)內(nèi)容都與數(shù)據(jù)庫審計(jì)、與傳統(tǒng)的網(wǎng)絡(luò)防火墻、與WEB防火墻不盡相同。大家從上面的例子也基本可以了解到這種產(chǎn)品的核心功能及與眾不同的特點(diǎn)。

數(shù)據(jù)庫防火墻（DBFW），是一種通過對于數(shù)據(jù)庫通訊協(xié)議的分析而衍生出的一種數(shù)據(jù)庫的訪問控制類系統(tǒng)。數(shù)據(jù)庫防火墻（DBFW）有多種工作模式，在串聯(lián)模式下可具有SQL注入防護(hù)、數(shù)據(jù)庫訪問權(quán)限控制、數(shù)據(jù)庫虛擬補(bǔ)丁防護(hù)等功能，當(dāng)并聯(lián)在網(wǎng)絡(luò)中時(shí)又具備傳統(tǒng)數(shù)據(jù)庫審計(jì)的能力。它串聯(lián)在網(wǎng)絡(luò)中與并聯(lián)在網(wǎng)絡(luò)中實(shí)現(xiàn)的不同功能的異同點(diǎn)相當(dāng)于傳統(tǒng)網(wǎng)絡(luò)安全中IPS(入侵防御系統(tǒng))和IDS(入侵檢測系統(tǒng))的區(qū)別。通俗的講，數(shù)據(jù)庫防火墻（DBFW）系統(tǒng)能夠通過對數(shù)據(jù)庫通訊協(xié)議的分析而實(shí)現(xiàn)對數(shù)據(jù)庫的權(quán)限訪問控制、SQL防火墻功能，并且具備數(shù)據(jù)庫審計(jì)能力。

那么這種產(chǎn)品在實(shí)施后，能為客戶帶來哪些好處呢？請看下圖 所示數(shù)據(jù)庫防火墻（DBFW）的防護(hù)效果。

　　圖：數(shù)據(jù)庫防火墻（DBFW）防護(hù)效果

1、 通過系統(tǒng)的虛擬補(bǔ)丁、SQL注入防護(hù)能力，能夠防止外部黑客攻擊；

2、 對內(nèi)部人員，比如運(yùn)維人員、第三方開發(fā)人員在敏感業(yè)務(wù)數(shù)據(jù)上的批量更新、高危的數(shù)據(jù)刪除、表結(jié)構(gòu)刪除等行為，可進(jìn)行實(shí)時(shí)阻斷和告警，防止內(nèi)部人員的高危操作；

3、 對于內(nèi)部人員或黑客對于敏感數(shù)據(jù)的批量下載、查詢的行為進(jìn)行嚴(yán)格控制；

4、 對數(shù)據(jù)庫的操作行為，進(jìn)行分析，形成多種形式、多種觀察角度的審計(jì)報(bào)表，提供給客戶進(jìn)行分析。

我們可以看出，通過部署數(shù)據(jù)庫防火墻（DBFW）系統(tǒng)，可從根本上杜絕多種針對數(shù)據(jù)庫的安全事件發(fā)生。

在這類產(chǎn)品的實(shí)施過程中，對于客戶在購買時(shí)考慮到數(shù)據(jù)庫的安全性、穩(wěn)定性，一般不希望或者不敢直接串聯(lián)在數(shù)據(jù)庫前時(shí)，這種產(chǎn)品也提供旁路接入模式。客戶可完全根據(jù)自己的需要，前期進(jìn)行旁路部署，在產(chǎn)品運(yùn)行穩(wěn)定、策略配置完備后再進(jìn)行串聯(lián)接入，實(shí)時(shí)防護(hù)。

數(shù)據(jù)庫防火墻（DBFW）的推出，，在傳統(tǒng)的網(wǎng)絡(luò)安全的防護(hù)體系中，補(bǔ)充上了對數(shù)據(jù)庫的防護(hù)這一環(huán)節(jié)，細(xì)化了網(wǎng)絡(luò)安全設(shè)備的防護(hù)內(nèi)容，真正實(shí)現(xiàn)了“術(shù)業(yè)有專攻”的數(shù)據(jù)庫安全防護(hù)系統(tǒng)，從根本上解決了困擾大家多年的數(shù)據(jù)庫安全問題。而天融信公司推出的數(shù)據(jù)庫防火墻產(chǎn)品與天融信公司已有的數(shù)據(jù)庫審計(jì)、數(shù)據(jù)庫加密等產(chǎn)品一起構(gòu)成了天融信數(shù)據(jù)庫安全防護(hù)體系，為廣大社會(huì)團(tuán)體、企業(yè)用戶的數(shù)據(jù)庫數(shù)據(jù)提供了更完善的防護(hù)方案，為用戶的數(shù)據(jù)庫中的數(shù)據(jù)保駕護(hù)航。

相信從這類產(chǎn)品的問世以來，數(shù)據(jù)庫的安全問題會(huì)越來越少，社會(huì)團(tuán)體、企業(yè)、個(gè)人的隱私信息被任意泄露的現(xiàn)象將得到極大改善。